Poradnik: Wzorcowa dokumentacja bezpieczeństwa systemu niejawnego cz.1 – SWB

Jednym z głównych elementów uzyskania akredytacji systemu niejawnego, niezależnie od klauzuli, jest napisanie dokumentacji bezpieczeństwa dla tego systemu. Jest to praktycznie pierwszy etap w staraniu się o uzyskanie świadectwa bezpieczeństwa dla systemu niejawnego. Zachęcam do zapoznania się 3 częściowym cyklem wzorcowej dokumentacji systemu niejawnego. W części pierwszej skupię się na Szczególnych Wymaganiach Bezpieczeństwa systemu. Druga część będzie poświęcona Procedurom Bezpiecznej Eksploatacji, natomiast w trzeciej część postaram się przybliżyć pojęcie szacowania ryzyka i analizy ryzyka, która jest nieodzownym elementem dokumentacji systemu niejawnego.

Informacje ogólne …

Zgodnie z ustawą z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Art. 48) potwierdzeniem udzielenia akredytacji (pozwolenia na użytkowanie) dla systemu niejawnego jest świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego. Przy czym ABW lub SKW udziela akredytacji dla systemów przetwarzających informacje niejawne oznaczone klauzulą POUFNE lub wyższą. Dla systemów oznaczonych klauzulą ZASTRZEŻONE akredytacji udziela Kierownik Jednostki Organizacyjnej.

Świadectwo akredytacji, o którym mowa wyżej wydaje się między innym właśnie na podstawie stworzonej dokumentacji bezpieczeństwa dla danego systemu teleinformatycznego. Dla systemu oznaczonego klauzulą ZASTRZEŻONE wystarczy uzyskać tylko pozytywną opinię ABW lub SKW dokumentacji bezpieczeństwa, natomiast w przypadku systemów oznaczonych klauzulą POUFNE lub wyżej dodatkowo należy uzyskać pozytywny wynik audytu bezpieczeństwa systemu przeprowadzanego przez ABW lub SKW.

Jak widać niezależnie od klauzuli systemu dokumentacja jest bardzo istotnym elementem uzyskania świadectwa bezpieczeństwa. Jest ona niejako pierwszym krokiem, który należy uczynić po to, aby móc przetwarzać informacje niejawne w systemie teleinformatycznym. Dokumentację bezpieczeństwa wykonuje się na etapie projektowania systemu, na bieżąco uzupełnia na etapie wdrażania oraz modyfikuje na etapie eksploatacji.

W tej części wpisu chciałbym wspomnieć także o klauzuli dokumentacji bezpieczeństwa. Zgodnie z ustawą o ochronie informacji niejawnych to autor nadaje klauzulę dla wytworzonego dokumentu. Nigdzie nie ma obowiązku nadawania określonej klauzuli niejawności dla dokumentacji bezpieczeństwa. Wszytko zależy od informacji, jakie w tej dokumentacji będą zawarte. Wiadomo, iż jeśli tworzymy system niejawny oznaczony klauzulą “ŚCIŚLE TAJNE” to informacje zawarte w dokumentacji (np. o zastosowanych zabezpieczeniach i konfiguracji) mogą mieć duże znaczenie dla bezpieczeństwa całego systemu i informacji w nim przechowywanych, warto więc nadać klauzule niejawności dla dokumentacji bezpieczeństwa tego systemu. Ale nie musi to być  od razu taka sama klauzula jak system, w opisywanym przypadku dokumentacja może być np. oznaczona klauzulą “POUFNE” i to już powinno wystarczyć, aby ją zabezpieczyć przed osobami, które nie powinny mieć do niej wglądu. Natomiast dla systemu niejawnego oznaczonego klauzulą “ZASTRZEŻONE”, przetwarzającego niewielką ilość informacji, dokumentacja może być wręcz jawna i nie ma potrzeby nanoszenia klauzuli niejawności. Można taką dokumentację oznaczyć wewnętrzną sygnaturą instytucji, np. “Tajemnica firmy ABCD”, i zastosować dla niej wewnętrzne procedury bezpieczeństwa.

Od czego zacząć …

Pierwszym krokiem, który trzeba uczynić przed zaczęciem pisania dokumentacji jest zdefiniowanie i wyznaczenie osób funkcyjnych:

  • Kierownika jednostki organizacyjnej
  • Pełnomocnika ds. ochrony informacji niejawnych
  • Administratora systemu
  • Inspektora bezpieczeństwa teleinformatycznego (może nim być Pełnomocnik)

Przeważnie dokumentację bezpieczeństwa opracowuje Administrator systemu, oczywiście w ścisłej współpracy z Pełnomocnikiem i Inspektorem, ale nie jest to obligatoryjne. Zanim zacznie się pisanie dokumentacji należy także odpowiedzieć sobie na kilka pytań:

  • Jaki jest cel tworzenia systemu niejawnego?
  • Jakiej klauzuli dokumenty niejawne będą w nim przetwarzane?
  • Jakiego typu dokumenty niejawne będą w nim przetwarzane?
  • Jaki będzie tryb bezpieczeństwa pracy systemu?
  • Jaka będzie ilość wytwarzanych dokumentów niejawnych?
  • Gdzie system ma być zlokalizowany?
  • Jakie obecnie zabezpieczenia fizyczne w firmie posiadamy i czy są one wystarczające w stosunku do klauzuli systemu?
  • Jakie dokumenty normujące bezpieczeństwo są w firmie wdrożone? (Regulaminy pracy, instrukcja ppoż itp.)

Odpowiedzi te posłużą nam potem do rozpoczęcia pisania dokumentu Szczególnych Wymagań Bezpieczeństwa.

Co dalej…

Dokument SWB powinien opisywać, w jaki sposób zapewnia się bezpieczeństwo informacjom niejawnym przetwarzanym w systemie TI oraz,  jak system TI jest zabezpieczony w danej jednostce organizacyjnej. System powinien chronić przetwarzane informacje przed nieupoważnionym odczytem, skasowaniem lub modyfikacją i zapewniać stałą ich dostępność dla upoważnionego użytkownika systemu.

Na pierwszych stronach dokumentu SWB należy wykazać jakie są potrzeby jednostki organizacyjnej w zakresie przetwarzania dokumentów niejawnych. Należy opisać cel powstania systemu, może to być np. konkretny projekt, który instytucja ma wykonać na potrzeby jakiejś instytucji państwowej i wymaga to posiadania systemu niejawnego o określonej klauzuli. We wstępnie musimy także wspomnieć o klauzuli tworzonego systemu, opisać dokładnie rodzaj wytwarzanych dokumentów niejawnych, a także oszacować ilość wytwarzanych informacji niejawnych w systemie. Przy tym pamiętać należy, iż dokument niejawny to nie tylko to co piszemy i drukujemy na papierze. Dokumentem niejawnym może być aplikacja, konfiguracja systemu itd. We wstępie dokumentu SWB należy też wybrać tryb bezpieczeństwa pracy systemu: dedykowany, systemowy lub wielopoziomowy.

W kolejnej części dokumentu należy wybrać metodę szacowania ryzyka oraz napisać raport z procesu szacowania ryzyka. Szacowanie ryzyka i analiza ryzyka to bardzo szerokie zagadnienia, dlatego też więcej na ten temat opiszę w 3 części tego poradnika.

Następny etap pisania dokumentu SWB to bezpieczeństwo osobowe. W tym miejscu należy opisać kto może uzyskać dostęp do systemu TI. Na jakich zasadach przydzielane są i odbierane są uprawnienia dostępu do systemu. Należy wskazać kto prowadzi rejestry uprawnionych użytkowników, np. rejestr osób zapoznanych z dokumentem PBE. Trzeba opisać na jakich zasadach użytkownicy systemu są rozliczani z wykonywanych czynności w systemie. Ta część dokumentu powinna także zawierać informację o szkoleniach dla użytkowników, to znaczy kto i kiedy je przeprowadza.

Kolejnym rozdziałem w dokumencie SWB powinien być rozdział poświęcony ochronie fizycznej. Rozdział ten powinien zawierać opis stref ochronnych, opis zabezpieczenia stref ochronnych przed nieuprawnionym dostępem, opis metody rozliczalności dostępu do strefy ochronnej. Opisy powinny w najdrobniejszych szczegółach mówić o tym jakie zastosowano zabezpieczenia fizyczne i organizacyjne w celu wyeliminowania zagrożenia niekontrolowanego dostępu do informacji niejawnych (kontrole wejść/wyjść, ochrona budynku, system włamania i napadu). Powinny się tu znaleźć także opisy systemów zabezpieczeń przed zagrożeniami środowiskowymi np. system ppoż. Zabezpieczenia należy dostosować do rodzaju i klauzuli przetwarzanych w systemie informacji niejawnych. Inne zabezpieczenia będą wymagane przy systemie oznaczonym klauzulą “ZASTRZEŻONE”, a inne przy systemie oznaczonym klauzulą “TAJNE”.

Idąc dalej w dokumentacji nie może zabraknąć opisu ochrony elektromagnetycznej. W rozdziale tym należy wspomnieć o sprzętowej strefie ochrony elektromagnetycznej (SSOE) dla obiektu, w którym
zlokalizowany jest system oraz o zastosowanych rozwiązaniach technicznych, które mają na celu ograniczenie emisji ujawniającej.

Następne kartki dokumentu SWB powinny być poświęcone ustawieniom konfiguracyjnym. Należy dokładnie opisać konfigurację systemu sprzętową oraz programową. Rozdział ten powinien zawierać szczegółowy wykaz sprzętu komputerowego używanego w systemie wraz z jego nr seryjnymi oraz  konfigurację oprogramowania od BIOS’u po system operacyjny. Należy opisać jakie aplikacje zainstalowano w systemie, wykazać ich legalność (nr licencji) oraz opisać ograniczenia jakie zostały nałożone na poszczególnych użytkowników systemu.

Kolejne rozdziały dokumentu SWB to sposób utrzymania ciągłości działania oraz sposób reagowania na incydenty, czyli w jaki sposób system został zabezpieczony przed awariami np. przed brakiem prądu, jaki wpływ te awarie mogą mieć na system i jak będziemy reagować na incydenty, które mogą się pojawić w trakcie eksploatowania systemu np. wykrycie wirusa komputerowego. Należy także zawrzeć opis zastosowanych zabezpieczeń przed wystąpieniem awarii i incydentów.

Następne rozdziały powinny dotyczyć:

  • ochrony nośników niejawnych – rodzaje, sposób zarządzania nimi, ich oznaczanie, ewidencja oraz niszczenie;
  • identyfikacji i uwierzytelnienia użytkowników – kto może mieć dostęp do systemu, jak ten ktoś będzie identyfikowany, w jaki sposób będzie się uwierzytelniał w systemie;
  • przeprowadzania audytu systemu – w jaki sposób będzie przeprowadzany audyt systemu, kiedy będzie przeprowadzany i przez kogo;
  • zarządzania ryzykiem w systemie – szerokie zagadnienie dotyczące analizy ryzyka i szacowania ryzyka, opis zagadnienia w będzie w części 3 tego poradnika;
  • zarządzania zmianami w systemie – opis kiedy zmiany można wprowadzać, na czyje polecenie i na jakiej podstawie, rejestr zmian, co jeśli zmiana wpływa na bezpieczeństwo systemu itd.

Do dokumentu SWB powinny być dołączone także załączniki, które powinny zawierać metrykę systemu, szkic pomieszczenia w którym znajduje się system, szkic rozmieszczenia stref ochronnych, szkic geodezyjny budynku, kopie certyfikatów i zezwoleń, spis oprogramowania i sprzętu komputerowego itp.

Wiemy, jak trudne może być przygotowanie dobrej dokumentacji bezpieczeństwa, dlatego też zachęcamy do skorzystania z naszego doświadczenia. W naszej ofercie znajdziecie Państwo przygotowanie kompletnej dokumentacji pozwalającej na akredytację systemu niejawnego w Państwa firmie. Chętnie pomożemy Państwu w zdobyciu świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego na każdym etapie ubiegania się o niego – od stworzenia dokumentacji po uczestniczenie w audycie bezpieczeństwa systemu teleinformatycznego przeprowadzonego przez ABW albo SKW.

Informacje o autorze:
Karol Kij

Zajmuje się szeroko pojętym tematem zarządzania bezpieczeństwa informacji.

Jako młoda, aktywna i przedsiębiorcza osoba wciąż poszukuję nowych źródeł wiedzy i możliwości rozwoju.

Poszukuję kontaktów biznesowych, nawiążę również kontakt z osobami zainteresowanymi podobną problematyką w celu współpracy, wymiany spostrzeżeń i doświadczeń.

Zobacz również:

ZOSTAW KOMENTARZ

*